Подарочек из контакта

01 Mar 2011 | Автор: dd |

Столкнулся у клиента с интересной шняжкой- при попытке зайти на одноклассников, в контакте или мейловую почту выводилось сообщение о том, что надо бы прислать бабок ерез смс, чтобы всем было щасте. В первый раз когда я это обнаружил- подумал было что легкая какая то фигня, не заслуживающая особого внимания тем более, что поотключав все в бродилке- вроде убрал эту проблему, но через пару дней она появилась снова.

Просмотрел для начала автозагрузки и иже с ними, и обнаружил что эта пакость сделала невидимым файл
C:\WINDOWS\system32\drivers\etc\hosts и понаписала в него всякого дикого мусора, среди которого промелькивали осмысленные строки:
##############################################
91.193.194.141 odnoklassniki.ua
91.193.194.141 vkontakte.ru
91.193.194.141 www.durov.ru
91.193.194.141 www.odnoklassniki.ru
91.193.194.141 wap.vkontakte.ru
91.193.194.141 vk.com
91.193.194.141 www.durov.vkontakte.ru
91.193.194.141 www.wap.vkontakte.ru
91.193.194.141 www.vkontakte.ru
91.193.194.141 www.pda.vkontakte.ru
91.193.194.141 durov.vkontakte.ru
91.193.194.141 odnoklassniki.ru
91.193.194.141 pda.vkontakte.ru
91.193.194.141 www.vk.com
91.193.194.141 www.odnoklassniki.ua
91.193.194.141 durov.ru
##############################################

а также создала еще один файл в этой же папке с названием hюsts в который навалила следующего флуда:

##############################################
windows
765765765765765765765765765765765767575
765765765765765765765765765765765767575
765765765765765765765765765765765767575
##############################################

Собственно редирект IP на фишинг страничку которая и предлагает прислать бабусек за анлок сайтов. IP’шник литовский и принадлежит ISP: Odessa Hosting Service
Учитывая про при последовавшем прогоне системы через все многообразие имеющихся антивирей- было найдено пара троянов, застывших в ужасе, в темповой папке, после чего я полез смотреть кто из них проделывает эту пакость и оказалось что троянчики тут не при чем- а эта лажа приходит из социальной сети “В Контакте”, где на стену приходит ссылко вида http://09g020923jf9jdq.ru/?edcvfr=101036702 при проходе на которую предлагается к скачиванию файлец
PODAROK.exe, который и проводит указанную манипуляцию с файлом hosts.

А троянчики были просто залетные, видимо оставшиеся от дикого и неуемного серфинга по сети.

VN:F [1.9.21_1169]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)
Подарочек из контакта, 10.0 out of 10 based on 1 rating

Теги: , , ,

Отзывов: 4 на «Подарочек из контакта»

  1. Автор: Сергей на 09 Mar 2011

    Такую же шнягу у себя на компе обнаружил. Вот искал сайт этого Odessa Hosting Service и наткнулся на этот блог. Сайт, кстати, так и не нашел :( Думал им письмо заслать чтобы на этот IPшник внимание обратили.

    [Reply]

    anchous Reply:

    Обычно такую лажу хостят на абузоустойчивых хостингах- поэтому как мне кажется, как раз в прибалтике, а не в штатах. ;)

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)
  2. Автор: Владимир на 27 Apr 2011

    У меня было тоже самое позавчера, словил этот “ПОДАРОК” и сидел и наблюдал, как меня выносит с сайтов… и что интересно с мейла меня не вынесло, а только пришло сообщение от мейлруагента, что ему мешает работать, какой-то файл, который надо бы удалить.. Я дал добро агенту и он удалил сам..
    А так, как встретился с этим впервые, то зарегился “Касперски911″ и они пошагово мне чистили комп прогой AVZ, но не до конца.. и пришлось вручную найти этот файл “hosts” , а он не только в C:\WINDOWS\system32\drivers\etc\host есть, но ещё в двух местах и удалить !
    И тогда всё заработало, как надо !

    [Reply]

    anchous Reply:

    ну если у вас 64битная win7 то он может лежать по адресу %systemroot%\SysWOW64\drivers\etc а вот в каких то другим местах лежать может, но работать там не будет

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)

Ваш отзыв